Ryzyko systemów informatycznych Fakty



Podobne dokumenty
Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

6 Metody badania i modele rozwoju organizacji

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Monitorowanie Bezpieczeństwa Sieci Technologicznej

I. O P I S S Z K O L E N I A

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Enterprise Architecture podejście holistyczne w zarządzaniu transformacją jednostek administracji publicznej

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Projekt: PROLOG wzrost potencjału przedsiębiorstw logistycznych województwa pomorskiego

Opis przedmiotu zamówienia

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Zarządzanie procesami w Ministerstwie Gospodarki. 6 listopada 2012 r.

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Architektura korporacyjna państwa a nowoczesna administracja publiczna

ISO w Banku Spółdzielczym - od decyzji do realizacji

Część I ZARZĄDZANIE PROCESAMI LOGISTYCZNYMI

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Skrócone opisy pryncypiów architektury korporacyjnej podmiotów publicznych

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Spis treści. Wstęp... 9

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Polityka bezpieczeństwa

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

COBIT 5 WHITE PAPER WSTĘP

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Kontrola dostępu do informacji w administracji publicznej

Zarządzanie bezpieczeństwem informacji w urzędach pracy

dr Mariusz Ulicki Dyrektor Biura Informatyki i Telekomunikacji Centrali KRUS

Bezpieczeństwo dziś i jutro Security InsideOut

PODSTAWY ZARZĄDZANIA PROJEKTAMI

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Jak budować wygrywającą strategię w branży y turystycznej w oparciu o koncepcję Błękitnego Oceanu

ZARZĄDZANIE W BIZNESIE MIĘDZYNARODOWYM

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Kompleksowe Przygotowanie do Egzaminu CISMP

Robert Meller, Nowoczesny audyt wewnętrzny

Przedmiot nauk o zarządzaniu Organizacja w otoczeniu rynkowym jako obiekt zarządzania Struktury organizacyjne Zarządzanie procesowe

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Opis przedmiotu zamówienia na świadczenie usług doradztwa w projekcie euczelnia Opis przedmiotu zamówienia

Metodyka wdrożenia. System Jakości ISO 9001

oceny kontroli zarządczej

W książce omówiono: SAP zostań ekspertem w 24 godziny!

SAP w 24 godziny / Michael Missbach, George Anderson. Gliwice, cop Spis treści

Strona 2. Jaka jest toŝsamość IT? Jaką wartość biznesową niesie?

ISTOTNYCH. o COBIT 5

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Wartość audytu wewnętrznego dla organizacji. Warszawa,

PLAN STUDIÓW II STOPNIA dla studentów rozpoczynających naukę w roku 2017/2018

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Krzysztof Świtała WPiA UKSW

IBM DATASTAGE COMPETENCE CENTER

Opis systemu kontroli wewnętrznej w Braniewsko-Pasłęckim Banku Spółdzielczym z siedzibą w Pasłęku

POD O EJŚ J CIE I P ROC O ESOW

PROGRAM STUDIÓW ZINTEGROWANE SYSTEMY ZARZĄDZANIA SAP ERP PRZEDMIOT GODZ. ZAGADNIENIA

Hurtownie danych i systemy informacji gospodarczej. Vastosowanie w handlu elektronicznym.

Zarządzanie i inżynieria jakości / Adam Hamrol. Warszawa, Spis treści

Praktyki ITIL oraz narzędzia ITSM w procesie wdrożenia usług Agenta Transferowego w Banku Zachodnim WBK S.A.

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Spis treści. Konwencja zapisu przyjęta w niniejszym podręczniku

Zapewnij sukces swym projektom

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Standaryzacja cyfrowych usług publicznych

SPECJALNOŚĆ Zarządzanie Procesami Przedsiębiorstwa

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Red Ocean sp. z o.o. P R O G R A M D O Z D A L N E G O P R Z E P R O W A D Z A N I A S A M O O C E N Y K O N T R O L I Z A R Z Ą D C Z E J

Analiza biznesowa a metody agile owe

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Bezpieczeństwo systemów SCADA oraz AMI

Informacja Banku Spółdzielczego w Chojnowie

Usprawnienia zarządzania organizacjami (normy zarzadzania)

epolska XX lat później Daniel Grabski Paweł Walczak

Oświadczenie o stanie kontroli zarządczej. Dyrektora Poradni Psychologiczno-Pedagogicznej nr 1 w Bydgoszczy. za rok 2012

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Bezpieczeństwo danych w sieciach elektroenergetycznych

ANALIZA EKONOMICZNO-FINANSOWA

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

REKOMENDACJE DOTYCZĄCE PLATFORMY ZARZĄDZANIA KOMPETENCJAMI

Aktywne formy kreowania współpracy

Zarządzanie usługami IT zwinność

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

SPOSOBY UZYSKANIA SPÓJNOŚCI W PLANOWANIU ROZWOJU PRZESTRZENNEGO I SPOŁECZNO - GOSPODARCZEGO DOLNEGO ŚLASKA

Wybierz specjalność. dla siebie. ezit.ue.wroc.pl

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Projekt architektury systemów informatycznych Uniwersytetu Warszawskiego w oparciu o metodykę TOGAF. Tomasz Turski

Aplikacja inteligentnego zarządzania energią w środowisku domowym jako usługa Internetu Przyszłości

Zajęcia prowadzone przez MCT, auditora wiodącego systemów bezpieczeństwa informacji.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

BOC dla KJUF Podsumowanie warsztatów listopada 2011

Software Asset Management SAM

Transkrypt:

Od bezpieczeństwa informacji do bezpiecznej firmy Metodyka SABSA Tomasz Bejm, Aleksander Poniewierski

Ryzyko systemów informatycznych Fakty Citigroup utracił dane i historie transakcji prawie 4 milionów swoich klientów TJX amerykańskiej firmie zostały wykradzione numery kart kredytowych ponad 96 milionów klientów według wyliczeń firmy atak kosztował ją blisko 250 milionów dolarów W 2007 roku 88% amerykańskich firm doświadczyło co najmniej jednego incydentu związanego z bezpieczeństwem* Przeciętna firma w USA pada ofiarą 140 incydentów rocznie* 93% firm, które w wyniku katastrofy tracą dane, przestaje istnieć w ciągu 5 lat** 140000 120000 100000 80000 60000 40000 20000 0 6 1988 132 1989 252 1990 406 1991 773 1992 1334 1993 2340 1994 2412 1995 2573 1996 2134 1997 3734 1998 9859 1999 21756 2000 52658 2001 82094 2002 137529 2003 * zgodnie z badaniami CSI Computer Crime and Security Survey ** zgodnie z badaniami US Labor Dept Liczba incydentów zgłoszonych do CERT/CC w latach 1988 2003

Ryzyko systemów informatycznych Podejścia do zapewnienia bezpieczeństwa* Podejście techniczne Opracowywanie i wdraŝanie konkretnych rozwiązań technicznych Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka Podejście zarządcze Ludzie są największym źródłem zagroŝenia dla informacji sabotaŝyści pracownicy ze zbyt duŝymi uprawnieniami pracownicy nie zaznajomieni z zasadami z ochrony informacji Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)** Podejście instytucjonalne Standaryzacja bezpieczeństwa systemów informatycznych oraz budowa i wdraŝanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów Certyfikacja rozwiązań bezpieczeństwa Promowanie kultury bezpieczeństwa informacji w obrębie firmy Ład bezpieczeństwa informacji Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najwaŝniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji Traktowanie bezpieczeństwa informacji jak strategicznego aspektu egzystencji firmy * Prof. Basie von Solms, Information Security the third wave?, Computer and Security, 19 (2000),s. 615-620 ** Security Survey 2007

Model wdraŝania i zarządzania mechanizmami bezpieczeństwa Sprzeczne cele wdraŝania mechanizmów bezpieczeństwa Architektura bezpieczeństwa Zestaw zasad, zaleceń, wzorców i standardów z zakresu bezpieczeństwa wraz z opisem ich wzajemnego powiązania w odniesieniu do uwarunkowań biznesowych Bezpieczeństwo Cele Kontrola kosztów UŜyteczność Odejście od koncepcji standardowego podejścia analizy poszczególnych obszarów Analiza bezpieczeństwa według łańcucha wartości Analiza bezpieczeństwa z perspektywy poszczególnych procesów biznesowych Ewolucyjne podejście do przeprowadzania zmian

Architektura bezpieczeństwa SABSA (1/4) SABSA (Sherwood Applied Business Security Architecture) przedstawia całościowe podejście do zarządzania usługami i architekturą Bezpieczeństwa w przedsiębiorstwie SABSA jest wykorzystywana przez wiele organizacji na świecie do budowy architektury bezpieczeństwa przedsiębiorstwa i zarządzania usługami. SABSA została wykorzystana przez Ministerstwo Obrony Narodowej Wielkiej Brytanii do stworzenia Architektury Zapewnienia Informacji Bezpieczeństwa Metodyka SABSA jest zgodna z następującymi standardami: ITIL / ISO 20000 ISO 27001 / 17799 CobiT BS 15000 / AS 8018

Architektura bezpieczeństwa SABSA (2/4) Całościowe podejście do zarządzania usługami i architekturą bezpieczeństwa w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa Strategię Bezpieczeństwa logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową komponentową, obejmującą bezpośrednie narzędzia wdroŝenia Bezpieczeństwa standardy, protokoły, certyfikaty operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji Bezpieczeństwo aplikacji, sieci, pomoc techniczna Warstwa operacyjna * Warstwowy model architektury bezpieczeństwa opracowany został na bazie siatki Zachmana

Architektura bezpieczeństwa SABSA (3/4) Rozpatrywane aspekty architektury bezpieczeństwa według metodyki SABSA: Co próbujemy chronić? aktywa chronione przez architekturę bezpieczeństwa Dlaczego to robimy? motywacja do podejmowania działań Jak to robimy? wykonywane działania Kto to wykonuje? aspekty organizacyjne Gdzie podejmujemy działania? obszary, w których podejmowane są działania Kiedy podejmujemy działania? aspekty czasowe podejmowanych działań Te pytania i warstwowy model architektury bezpieczeństwa tworzą siatkę modelu SABSA

Sprawdzenia uzasadnienia aspektu bezpieczeństwa Architektura bezpieczeństwa SABSA (4/4) Proces projektowania architektury bezpieczeństwa polega na rozwaŝeniu aspektów w poszczególnych warstwach macierzy SABSA Zwiększenie poziomu szczegółowości aspektu bezpieczeństwa